다음을 통해 공유


IdentityQueryEvents

적용 대상:

  • Microsoft Defender XDR

고급 헌팅 스키마의 테이블에는 IdentityQueryEvents 사용자, 그룹, 디바이스 및 도메인과 같은 Active Directory 개체에 대해 수행된 쿼리에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.

테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 이벤트가 기록된 날짜와 시간
ActionType string 이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요.
Application string 기록된 작업을 수행한 애플리케이션
QueryType string QueryGroup, QueryUser 또는 EnumerateUsers와 같은 쿼리 형식
QueryTarget string 쿼리 중인 사용자, 그룹, 디바이스, 도메인 또는 기타 엔터티 형식의 이름
Query string 쿼리를 실행하는 데 사용되는 문자열
Protocol string 통신 중에 사용되는 프로토콜
AccountName string 계정의 사용자 이름
AccountDomain string 계정의 도메인
AccountUpn string 계정의 UPN(사용자 계정 이름)
AccountSid string 계정의 SID(보안 식별자)
AccountObjectId string Microsoft Entra ID 계정의 고유 식별자
AccountDisplayName string 주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다.
DeviceName string 디바이스의 FQDN(정규화된 도메인 이름)
IPAddress string 엔드포인트에 할당되고 관련 네트워크 통신 중에 사용되는 IP 주소
Port int 통신 중에 사용되는 TCP 포트
DestinationDeviceName string 기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 이름
DestinationIPAddress string 기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 IP 주소
DestinationPort int 관련 네트워크 통신의 대상 포트
TargetDeviceName string 기록된 작업이 적용된 디바이스의 FQDN(정규화된 도메인 이름)
TargetAccountUpn string 기록된 작업이 적용된 계정의 UPN(사용자 계정 이름)
TargetAccountDisplayName string 기록된 작업이 적용된 계정의 표시 이름
Location string 이벤트와 연결된 도시, 국가/지역 또는 기타 지리적 위치
ReportId string 이벤트에 대한 고유 식별자
AdditionalFields dynamic 엔터티 또는 이벤트에 대한 추가 정보

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.